Osvědčené postupy pro podporu ověřování odesílatelů v e-mailu služby Azure Communication Services
Tento článek obsahuje osvědčené postupy pro odesílání e-mailů u záznamů DNS a způsob použití metod ověřování odesílatele, které pomáhají útočníkům v odesílání zpráv, které vypadají jako z vaší domény.
Ověřování e-mailů a nastavení DNS
Odeslání e-mailu vyžaduje několik kroků, mezi které patří ověření odesílatele e-mailu, který skutečně vlastní doménu, kontrolu reputace domény, vyhledávání virů, filtrování spamu, pokusů o phishing, malware atd. Konfigurace správného ověřování e-mailů je základním principem pro vytvoření důvěryhodnosti e-mailu a ochranu reputace vaší domény. Pokud e-mail projde ověřovacími kontrolami, přijímající doména může na tento e-mail použít zásady, které jsou v souladu s reputací, které jsou pro identity přidružené k těmto kontrolám ověřování, a příjemce si může být jisti, že tyto identity jsou platné.
Záznam MX (Mail Exchange)
Záznam MX (Mail Exchange) slouží ke směrování e-mailů na správný server. Určuje poštovní server zodpovědný za přijímání e-mailových zpráv jménem vaší domény. DNS je potřeba aktualizovat nejnovějšími informacemi záznamů MX vaší e-mailové domény, jinak dojde k selhání doručení.
SPF (Sender Policy Framework)
SPF RFC 7208 je mechanismus, který vlastníkům domén umožňuje publikovat a udržovat prostřednictvím standardního záznamu DNS TXT seznam systémů autorizovaných k odesílání e-mailů jejich jménem. Tento záznam slouží k určení, které poštovní servery mají oprávnění odesílat e-maily jménem vaší domény. Pomáhá zabránit falšování e-mailů a zvýšit dostupnost e-mailů.
DKIM (Identifikovaná pošta pomocí klíčů domény)
DKIM RFC 6376 umožňuje organizaci požadovat odpovědnost za přenos zprávy způsobem, který může příjemce ověřit. Tento záznam slouží také k ověření domény, ze které se e-mail odesílá, a pomáhá zabránit falšování e-mailů a zvýšit dostupnost e-mailu.
DMARC (ověřování zpráv na základě domény, vytváření sestav a shoda)
DMARC RFC 7489 je škálovatelný mechanismus, pomocí kterého může poštovní organizace vyjádřit zásady a předvolby na úrovni domény pro ověřování, dispozici a vytváření zpráv, které může organizace pro příjem pošty použít ke zlepšení zpracování pošty. Slouží také k určení, jak mají příjemci e-mailu zpracovávat zprávy, které selžou kontroly SPF a DKIM. To zlepšuje možnosti doručování e-mailů a pomáhá zabránit falšování identity e-mailů.
ARC (ověřený přijatý řetěz)
Protokol ARC RFC 8617 poskytuje ověřený řetězec opatrovnictví pro zprávu, který umožňuje každé entitě, která zpracovává zprávu, identifikovat, které entity ho dříve zpracovaly, a také vyhodnocení ověřování zprávy v každém segmentu směrování. Arc ještě není internetový standard, ale přechod se zvyšuje.
Jak funguje ověřování e-mailů
Ověřování e-mailů ověřuje, že e-mailové zprávy od odesílatele (například notification@contoso.com) jsou legitimní a pocházejí z očekávaných zdrojů pro danou e-mailovou doménu (například contoso.com).) E-mailová zpráva může obsahovat více odesílatelů nebo odesílatelů adres. Tyto adresy se používají pro různé účely. Představte si například tyto adresy:
Adresa Mail From identifikuje odesílatele a určuje, kde se mají posílat oznámení o vrácení, pokud dojde k problémům s doručením zprávy, jako jsou oznámení o nedoručení. Zobrazí se v obálce e-mailové zprávy a vaše e-mailová aplikace ji nezobrazí. To se někdy označuje jako adresa 5321.MailFrom nebo adresa zpětné cesty.
Z adresy je adresa zobrazená jako adresa Odesílatele vaší poštovní aplikací. Tato adresa identifikuje autora e-mailu. To znamená, že poštovní schránka osoby nebo systému zodpovědná za zápis zprávy. To se někdy nazývá adresa 5322.From.
SPF (Sender Policy Framework) pomáhá ověřovat odchozí e-maily odeslané z vaší pošty z domény (pochází z toho, o koho se říká).
DomainKeys Identified Mail (DKIM) pomáhá zajistit, aby cílové e-mailové systémy důvěřovaly zprávám odesílaných z vaší pošty z domény.
Ověřování zpráv založených na doméně, vytváření sestav a shoda (DMARC) funguje s architekturou SPF (Sender Policy Framework) a Identifikovanou poštou (DKIM) a zajišťuje, aby cílové e-mailové systémy důvěřovaly zprávám odesílaným z vaší domény.
Implementace DMARC
Implementace DMARC pomocí SPF a DKIM poskytuje bohatou ochranu před falšováním identity a phishingovými e-maily. SPF používá záznam DNS TXT k poskytnutí seznamu autorizovaných odesílaných IP adres pro danou doménu. Kontroly SPF se obvykle provádějí pouze u adresy 5321.MailFrom. To znamená, že adresa 5322.From není ověřena při použití SPF samostatně. To umožňuje situaci, kdy uživatel může obdržet zprávu, která předá kontrolu SPF, ale má falšovanou adresu 5322.Od odesílatele.
Stejně jako záznamy DNS pro SPF je záznam DMARC textový záznam DNS (TXT), který pomáhá zabránit falšování identity a útoku phishing. Publikujete záznamy DMARC TXT v DNS. Záznamy TXT DMARC ověřují původ e-mailových zpráv ověřením IP adresy autora e-mailu proti údajnému vlastníkovi odesílající domény. Záznam TXT DMARC identifikuje autorizované odchozí e-mailové servery. Cílové e-mailové systémy pak můžou ověřit, že zprávy, které obdrží, pocházejí z autorizovaných odchozích e-mailových serverů. To vynutí neshodu mezi adresami 5321.MailFrom a 5322.From ve všech e-mailech odeslaných z vaší domény a DMARC pro tento e-mail selže. Abyste tomu předešli, musíte nastavit DKIM pro svoji doménu.
Záznam zásad DMARC umožňuje doméně oznámit, že jejich e-mail používá ověřování; poskytuje e-mailovou adresu ke shromáždění názorů na používání jejich domény; a určuje požadovanou zásadu pro zpracování zpráv, které neprocházejí ověřovacími kontrolami. Doporučujeme, aby
- Domény zásad, které publikují záznamy DMARC, jsou tam, kde je to možné, p=reject, jinak p=quarantine.
- Prohlášení o zásadách "p=none", "sp=none" a pct<100 by mělo být považováno pouze za přechodné státy s cílem je co nejrychleji odstranit.
- Každý publikovaný záznam zásad DMARC by měl obsahovat minimálně značku "rua", která odkazuje na poštovní schránku pro příjem agregačních sestav DMARC a neměla by odesílat žádné odpovědi zpět při přijímání sestav z důvodu obav o ochranu osobních údajů.
Další kroky
E-mailové domény a ověřování odesílatele pro Azure Communication Services
Začínáme s vytvářením a správou e-mailové komunikační služby ve službě Azure Communication Service
Začínáme připojením služby E-mailová komunikace s prostředkem služby Azure Communication Service
Pro vás můžou být zajímavé následující dokumenty:
- Seznámení s e-mailovou klientskou knihovnou
- Jak odesílat e-maily s vlastními ověřenými doménami? Přidání vlastních domén
- Jak odesílat e-maily se spravovanými doménami Azure? Přidání spravovaných domén Azure